大数据时代 企业如何把握客户信息使用的尺度?
2013-08-05刘小青
刘小青
曾经有一段时间我经常收到来自LinkedIn的邀请信,发件人是LinkedIn,但邀请人却是曾经与我有过电邮往来的一些人。最初我以为是病毒软件所致,但最近看到一段文字说这是一种典型的社交网络营销方式,一但你注册加入该社交网站,系统会自动从你注册或关联的邮箱中搜索联系人,并发信邀请他们加入。如此一来我开始思考一个问题,类似这样有窥探、搜集客户隐私信息的营销方式是否有相应的法律法规对其进行限定,各类互联网企业对于客户信息采集、使用应把控什么样的尺度?
移动互联网在云计算的推动下迎来了大数据时代的到来,由于海量数据中包含的个人信息、消费记录、浏览记录等对于企业来说具有极高的价值,对于这些数据的收集和分析可以让企业获得关于消费者的消费习惯、市场变化、产品走势等关键性数据,因此可以帮助企业进行有效的市场定位,同时进一步开展后续的运营。目前数据收集与分析在全球已经形成了一条极具规模的产业链和价值链,在这种新经济模式下,消费者在享受信息大容量、高速度传输带来的免费、方便、透明的种种美好体验外同时还面临着前所未有的安全威胁:个人信息泄露、被偷窥、盗用事件时有发生,隐私泄露导致的结果轻者是频繁收到垃圾邮件、短信、电话等,重者是财产损失,因此关于个人信息保护问题一直是消费者、企业、政府、网络罪犯、黑客之间的长期博弈。
去年11月,南京消费者黄某通过一款微软的第三方测试软件发现只要是通过360浏览器访问的网页,其网址数据全部被上传到了360服务器,而且本机安装的软件如QQ、QQ管家、金山毒霸等安装信息也被360全部知晓。黄某一怒之下把奇虎360公司告上了法庭,此案引起全社会广泛关注。奇虎回应的解释是:“360会把用户访问的网址通过不可逆的哈希算法转化为一个字符串,然后再与服务器端的恶意网址库进行比对,以便用户访问挂马、钓鱼等恶意网址时进行拦截,这项功能名为“网址云安全”,也是所有安全软件的通用做法。行业专家认为这种说法显然避开了一个关键问题, 到底是从服务器端下载恶意网址库进行本地对比,还是将用户浏览的网址上传到360服务器再对比。当然事实显然是后者,这也意味着360可以以“网址云安全”的名义轻易获得用户浏览过的每一个网址。同时法律专家认为360构成了违约、侵权和服务欺诈,按照《360浏览器安装许可协议》的规定, 360浏览器“不含有任何跟踪、监视用户计算机的功能代码,不会监控用户网上、网下的行为,不会收集用户使用其它软件、文档等个人信息,不会泄漏用户隐私”,但是根据黄某通过第三方检测结果表明该浏览器会不间断地利用“云服务”传送用户上网具体信息,这种行为与被告在网民协议中的承诺不相符,违反了双方当事人在网络用户协议中约定的网络服务提供者应当履行的义务,同时也侵害了网络用户的隐私权。
今年央视的315晚会曝光了若干家企业通过在网站植入代码来跟踪用户cookie信息以获得其上网隐私的内幕,有的企业通过这种方式已经掌握了数以亿计的用户浏览信息,这些互联网企业在分析用户经常访问的网站或搜索结果后会推送与之相关的广告信息以达到宣传产品或服务的目的。与此同时,奇虎宣布360安全浏览器是国内第一款支持反跟踪(DNT,Do Not Track)的浏览器软件,将最大限度保护用户的个人隐私信息安全,但联想到奇虎之前被南京用户投诉向其服务器上传客户浏览信息的案件尚未结案,还有去年初苹果下架360全部软件产品,据消息透露也是由于苹果总部检测出这些软件内含侵犯用户隐私的代码或漏洞,因此我们可以认为在目前较为混乱的网络环境下许多互联网公司——特别是国内的一些企业制定的所谓隐私政策并不能解决一些根本性争议,更多程度不过是一个形式而已。
同样,由于利用Cookie跟踪客户隐私,谷歌公司于2012年8月被用户起诉,美国联邦贸易委员会(Federal Trade Commission)查证后确认此事,谷歌被判处2250万美元罚金。谷歌的搜索引擎在欧洲市场的渗透率高达95%左右,作为大数据采集的先驱者,其对于数据的采集与处理能力是其立足市场的根本。据国外媒体报道,今年年初谷歌在欧洲最大6个市场的监管机构声明将采取联合行动以迫使该公司修改其隐私政策,而在此之前谷歌已经对其隐私政策做出过6次修改。
用户隐私权益保护当前几乎是国内外互联网企业面临的焦点问题,也是彼此间攻击的利器。社交网站Facebook在隐私政策方面也经常受到大众批评,面对来自用户的众多置疑,扎克伯克公开声明Facebook要比其他网络巨头更注重隐私问题,因为其他网络巨头对于所收集的数据以及使用这些数据的方式并没有做到透明化。他说:“人们对于谷歌、雅虎或微软拥有的他们的信息很少有或者根本没有任何控制权,而这些拥有庞大广告网络的公司基本上是神不知鬼不觉地收集到了大量的信息,这些信息要比人们在Facebook上分享的信息多得多。事实上,你对于你在Facebook上共享的每一条信息都拥有控制权。”Facebook对于用户隐私保护提供这样一种功能,即用户每次上传消息之后,一个下拉式菜单将出现在消息的右边,用户可通过选择控制谁观看每个消息。
在用户个人信息保护法律法规的制定方面,欧盟国家一直走在世界的前沿,欧盟各国都设有专门的数据监管机构。欧盟司法委员会委员雷丁女士曾将个人信息比喻为数字经济的“货币”,并称“像任何货币一样,它需要稳定性和信任。”基于这样一种统一数据的理念,世界各国相关法案的建设、发布与修订也都在紧锣密鼓地进行中。总的来说目前世界各国的隐私政策以及相关法律法规的制定有一个核心原则,即 “告知与许可”原则,数据收集者必须告知个人他们收集了哪些数据、作何用途,同时必须在收集工作开始前征得个人同意。
相比欧美国家,中国在互联网相关政策、法律法规的建设以及行业监管上滞后较多,而在移动互联时代,用户通过网络泄露其隐私信息的渠道几乎无所不在,像浏览器、搜索引擎、门户网站、即时通迅工具、移动设备、各种随意下载或预装的应用程序、钓鱼软件以及像云存贮等个人信息存贮服务等,除黑客、钓鱼软件涉及刑事犯罪外,其它基本属于民事争议的范畴。虽然大家都明确在没有经过同意的情况下私自搜集、使用个人信息属于侵权行为,但由于没有法律条文的详细规定,用户投诉后多数情况下很难裁决。
2012年年底,工信部出台国内首个个人信息保护指南《信息安全技术公共及商用服务信息系统个人信息保护指南》,与此同时,中国软件评测中心牵头组建个人信息保护推进联盟,开始筹备建立统一测评标准体系,该测评体系将通过对企业个人信息保护水平进行评价并颁发标识的方式为公众提供参考。12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过《关于加强网络信息保护的决定》,该文件在保护公民个人信息、治理垃圾电子信息、网络身份管理等方面做出了具体规定。2013年初,部分地区先后推出地方性个人隐私保护相关政策;3月底国务院出台最新通知,2014年6月起全国实施网络实名制,在此之前出台以公民身份号码为基础的公民统一社会信用代码制度及不动产登记制度。
随着个人信息保护行业指南的出台以及相关法律法规的陆续颁布,企业对于个人数据的滥用行为越来越多地受到制衡,但是这些制衡是否会由于对企业运营的潜在影响使得法律法规难于执行,也是司法部及监管部门需要思考的问题。比如对于谷歌这样的企业,个人信息数据的价值更多地体现在对它们的重复利用上,因此单方面从授权、许可或透明化角度去对企业做出限定实际上是难于操作的。对此,数据领域权威发言人维克尔·麦克多在《大数据时代》一书中给出建议,他说大数据时代需要设立一个不一样的隐私保护模式,这个模式应该着重于数据使用者为其行为承担责任,而不是将重心放在收集数据之初取得个人同意上。这样一来,使用数据的公司就需要基于其将对个人所造成的影响、对涉及个人数据再利用的行为进行正规评测,同时监管机制可以决定不同种类的数据必须删除的时间,再利用的时间框架则取决于数据内在风险和社会价值观的不同。